CryptoBandits: USB-Wurm kapert Bitcoin- und Monero-Transaktionen
23.06.2026 - 19:54:00 | boerse-global.de
Die Angreifer setzen auf USB-Würmer, manipulierte Programmierpakete und raubkopierte Bibliotheken.
CryptoBandits: USB-Wurm kapert Krypto-Transaktionen
Seit Februar 2026 ist eine neue Malware namens CryptoBandits im Umlauf. Der Schädling verbreitet sich über USB-Sticks – getarnt als harmlose LNK-Dateien. Sobald ein infizierter Datenträger angeschlossen wird, sucht sich das Programm neue Opfer.
Anzeige: Wer seine Krypto-Bestände vor CryptoBandits und manipulierten npm-Paketen schützen will, findet in diesem Report die entscheidenden Schutzmaßnahmen – von der Deaktivierung der AutoPlay-Funktion bis zum Erkennen von Typosquatting in der Entwickler-Umgebung. Jetzt kostenlosen Sicherheits-Report anfordern
Doch die eigentliche Gefahr lauert in der Zwischenablage. Alle 500 Millisekunden prüft die Malware, ob der Nutzer eine Krypto-Adresse kopiert hat. Ist das der Fall, ersetzt sie die Zieladresse durch eine Adresse der Angreifer. Bitcoin, Monero und Tron sind betroffen.
Doch damit nicht genug: CryptoBandits stiehlt auch Recovery-Seed-Phrasen und erstellt Screenshots des Systems. Die Kommunikation mit den Angreifern läuft über das Tor-Netzwerk. Erkennt die Malware, dass der Task-Manager geöffnet ist, beendet sie sich selbst.
Microsoft rät: Deaktivieren Sie die AutoPlay-Funktion und überprüfen Sie jede Zieladresse vor dem Absenden einer Transaktion manuell.
Gefälschte npm-Pakete: Trojaner im Entwickler-Werkzeugkasten
Die Sicherheitsforscher von JFrog entdeckten eine zweite Angriffswelle – diesmal in der npm-Registry, der zentralen Paketquelle für JavaScript-Entwickler. Ein Paket namens postcss-minify-selector-parser gab sich als legitimes Entwicklerwerkzeug aus.
Hinter dem harmlosen Namen verbarg sich ein AES-256-GCM-verschlüsselter Schadcode. Sobald Entwickler das Paket in ihr Projekt einbanden, führte es ein PowerShell-Skript aus. Dieses lud eine ZIP-Datei von einem entfernten Server – darin versteckt: ein Python-basierter Remote Access Trojan (RAT).
Der Trojaner stahl gezielt Chrome-Anmeldedaten und umging bestimmte Verschlüsselungsebenen. Zwei weitere Pakete – postcss-minify-selector und aes-decode-runner-pro – gehörten zur selben Kampagne. Sie machten sich auf infizierten Systemen durch Änderungen an der Windows-Registry dauerhaft breit.
Nordkoreanische Gruppe hinter Großangriff auf Mastra-Ökosystem
Anzeige: Entwickler, die npm-Pakete in ihre Projekte einbinden, riskieren unbemerkt Trojaner wie den AES-256-GCM-verschlüsselten RAT aus der postcss-minify-Kampagne. Dieser Leitfaden liefert einen Paket-Sicherheits-Scanner und konkrete Schritte zur Absicherung Ihrer Build-Pipeline. npm-Sicherheits-Check jetzt sichern
Microsoft führt einen weiteren Vorfall auf die nordkoreanische Hackergruppe Sapphire Sleet zurück. Am 17. Juni 2026 veröffentlichte die Gruppe 141 schadhafte Pakete im Mastra-npm-Ökosystem. Das prominenteste Beispiel: easy-day-js – ein Typosquatting der beliebten Bibliothek dayjs.
Der Angriff nutzte einen Post-Installation-Dropper, der auf Windows, macOS und Linux gleichermaßen zuschlug. Ziel waren mehr als 160 verschiedene Krypto-Browsererweiterungen. Die betroffene Umgebung verzeichnet rund 8 Millionen wöchentliche Downloads – das Ausmaß der Kompromittierung könnte enorm sein.
Die Kampagne zielte darauf ab, Anmeldedaten und Vermögenswerte von Entwicklern und Nutzern dezentraler Finanzanwendungen zu stehlen.
